워크데이(Workday)가 최근 사회공학 공격으로 인해 자사가 사용하는 제3자 고객관계관리(CRM) 시스템 중 하나에 침입이 발생했다고 밝혔다. 회사는 핵심 SaaS 애플리케이션과 고객 테넌트에는 접근 징후가 없으며, 유출된 정보는 이름·이메일·전화번호 등 일반적으로 공개돼 있는 수준의 비즈니스 연락처 정보에 대부분 한정된다고 강조했다. 이번 사건은 최근 음성 피싱과 악성 OAuth 앱을 활용해 CRM 데이터를 대량 탈취하는 일련의 공격 흐름과 맞물려 있다는 점에서 업계의 경계를 높였다.
워크데이는 지난주 말 짧은 공지를 통해 공격자들이 인사(HR)나 IT로 사칭해 직원들을 속였고, 이를 통해 영업·홍보 등에 쓰이는 외부 CRM 시스템 일부에 접근했다고 설명했다. 회사는 해당 접근을 즉시 차단하고 유사한 재발을 막기 위한 추가 보호조치를 시행했다고 밝혔다. 다만 어떤 CRM이 표적이 됐는지, 공격자가 얼마나 오랫동안 내부에 머물렀는지, 노출 규모가 어느 정도인지 등 구체적인 사실관계는 공개하지 않았다. 회사는 8월 6일 침해 사실을 인지했고 영향 가능성이 있는 고객과 파트너사에 순차적으로 알렸다고 전했다.
회사 대변인은 “복잡한 사회공학 사기에 여러 기업이 동시에 노출됐다”고 설명하며 “고객의 워크데이 데이터는 안전하다는 정황이 명확하다”고 강조했다. 이번에 접근된 정보가 주로 일반적 연락처 데이터라는 점도 재차 확인했다. 다만 이러한 정보는 향후 표적형 피싱이나 보이스 피싱의 정교한 미끼로 악용될 수 있어 이해관계자들의 경계를 요청했다.
공격 기법은 최근 세일즈포스(Salesforce) 생태계를 중심으로 진행되고 있는 데이터 탈취 시나리오와 유사했다. 공격자는 먼저 전화로 IT 헬프데스크를 사칭하며 직원에게 지원을 제공하는 척 접근했다. 이어 사용자의 동의를 받아 악성 연결 앱을 설치하게 만들고, 세일즈포스 OAuth 권한을 남용해 대량 조회·내보내기 권한을 확보했다.
이번 사건은 단일 기업 이슈를 넘어선 광범위한 CRM 데이터 탈취 흐름의 일부로 해석됐다. 최근 몇 주 사이 구글, 아디다스, 콴타스, 디올, 티파니, 샤넬, 알리안츠 생명 등 다수 글로벌 브랜드가 외부 CRM 접근 시도나 데이터 유출 정황을 확인했다고 밝혔다. 알리안츠 생명의 경우에는 이후 수백만 건 규모의 정보가 암시장에서 유통되는 정황도 제기돼 파급력이 단순 연락처 수준을 넘어설 수 있음을 보여줬다.
한편 위협 인텔리전스 커뮤니티에서는 샤이니헌터스(ShinyHunters), 스캐터드 스파이더(Scattered Spider), 랩서스$(Lapsus$)로 알려진 공격자들이 동일 텔레그램 채널에서 정보를 주고받았다는 관찰도 나왔다. 게시물의 진위는 별도 검증이 필요하지만, 알려진 표적과 전술·기술·절차(TTP)가 겹친다는 점에서 범죄 집단 간 느슨한 공조 가능성에 무게가 실렸다.
아직 확인되지 않은 부분도 남았다. 워크데이는 표적이 된 CRM의 실명, 침투 지속 기간, 노출된 연락처 수를 공개하지 않았다. 회사는 내부 통제를 보완하고 있으며, 유출된 연락처가 2차 공격의 빌미가 될 수 있다는 점을 들어 고객과 파트너에게 주의를 당부했다.
방어 관점에서 업계가 즉시 실시할 수 있는 조치도 분명해졌다. 우선 OAuth와 연결 앱 거버넌스를 강화해 승인 권한을 최소화하고, 허용 목록을 운영해 검증되지 않은 앱의 설치와 승인을 차단해야 한다. 대량 내보내기·API 사용 등 고위험 권한은 역할과 업무에 맞춘 최소 권한 원칙으로 재구성하고, 프로필·세션 정책을 활용해 신뢰된 IP 범위 내에서만 관리자·API·연결 앱 승인이 가능하도록 제한하는 것이 바람직하다. 세일즈포스 쉴드(Shield) 이벤트 모니터링과 트랜잭션 시큐리티 정책, 또는 SIEM을 통해 비정상적 API 급증, 대량 내보내기, 이례적 쿼리 패턴을 실시간 탐지·차단하는 체계도 필요하다.
[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
